昨年から断続的に発生している商品の配達を装った不審なメールが、今月11日ごろから再び活発化したようだ。メールを開いてしまうと、ネットバンキングの不正送金被害に発展するおそれがある。被害にあわないためのポイントをまとめた。
ネットバンキングの不正送金は、偽のサイトに誘導しアカウント情報などをだまし取る「フィッシング」によるものと、パソコン内に侵入した不正なプログラム「マルウェア(ウイルス)」によるものに大別される。今回のものは、後者のマルウェアを使う手口で、代表的な侵入経路のひとつであるメールが端緒となっている。
届いた一通のメールが、不正送金被害に発展するまでの一部始終を見ると、要所要所に被害を食い止めるためのヒントが見えてくる。どこかでいったん立ち止まり、何が起きているのか、これから何が起こるのかを考えて慎重に行動すれば、被害を食い止める有効な対策となるはずだ。なお、今回侵入してくるマルウェアは、Windowsだけを標的としているので、MacやiOS、Android端末には影響しない。
【1】メールの外見からわかること
不特定多数にばらまかれているのは、差出人の表示名を楽天や郵便局に偽装した件名のないメールだ。件名のないメールは、ユーザー間の携帯メールでは珍しくないが、オフィシャルなメールでは見かけない。メールの差出人欄は、送信側で自由に設定できる項目なので、それらしい名前でもあてにならない。ところが今回のメールでは、楽天の表示名が「Racuten Japan」だったり、送信元のメールアドレスがロシアのフリーメール(●●●@rambler.ru)だったりと不審点が残っていた。これらを見逃さなければ、メールを開封せずに済んだかもしれない。
【2】メールの内容からわかること
メールの中身は次のような内容で、添付したファイルを開けさせようとする。
--------
配達員が注文番号●●●の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りの郵便局 - 日本郵政取り扱い郵便局までお問い合わせください。
--------
不在通知らしき内容で日本語の怪しさも軽微なため、心当たりのある人は思わず委託運送状とやらを開こうとしてしまうかもしれない。が、ちょっと待ってほしい。メールで不在通知が来たり、運送状が添付ファイルになっていたりしたことが、これまでにあっただろうか。いつもと違うことが起きた場合には、怪しいと疑っていただきたい。特に添付ファイルを開けるよう指示された場合は要注意。必ずホームページなどに記載されている窓口に直接問い合わせて確認するか、開けずに無視していただきたい。一般向けのオフィシャルなメールで添付ファイル開けさせるのは、尋常なことではないのだ。
【3】ネット検索でわかること
今回送られたメールの文面や送信元のロシアのフリーメールは、昨年末から繰り返し使われているもの。使いまわしはメールを使う手口によくあるので、文面などをネットで検索してみるとよい。安全性は確認できなくても、危険性を察知できるかもしれない。ちなみに今回のものも、検索で過去の事例や注意喚起がヒットするので、不審メールであることがわかる。
【4】添付ファイルからわかること
それでもファイルを開こうとする場合には、ファイル名やファイルの種類に注意をはらいたい。一連の不審メールに添付されているファイルは、ファイル名の末尾が「.ZIP」になったもの。末尾の「.●●●」の部分を拡張子といい、Windowsでファイルの種類を識別するのに使われている。「.ZIP」の場合は、中にファイルやフォルダを格納した、ZIP形式の圧縮ファイル(圧縮フォルダ)。
ZIPファイルの中には、スクリーンセーバーであることを示す「.SCR」という拡張子のファイルが入っている。スクリーンセーバーは実行ファイルなので、このファイルを開くことは、プログラムを実行することを意味する。「委託運送状」と称してプログラムを実行させようとしているのはおかしいと気付いて開くのをやめれば、感染に至らずに済む。
【5】拡張子を誤認させるRLO
今回の攻撃に使われたZIPファイルは、格納したファイルのファイル名に、文字を右から左に読ませるRLO(Right-to-Left Override)と呼ばれる機能を使った、拡張子の偽装工作が施されていた。
ZIPファイルをWindows標準のエクスプローラーだけで開いた場合には、中のファイル名の末尾は「FDP.SCR」と表示されるのだが、一部の圧縮解凍ツールを利用している環境では、末尾の文字の並びが逆転し「RCS.PDF」と表示されてしまう。「PDF」は、最もよく使われる文書ファイルの拡張子なので、メールの文面通りの「委託運送状」だと信じて開いてしまうかもしれない。拡張子は、ちょっとした細工で誤認してしまうことがあるので、ファイルの種類も確認するよう心がけたい。
拡張子やファイルの種類は、標準設定のWindowsでは表示されない。これらの表示方法については、次の記事にまとめておくので参照していただきたい。
【6】警告が出たら即中止
メールの添付ファイルを実行しようとすると、Windowsが警告を出すことがある。使用しているメールソフトや圧縮解凍ツールによっては、警告が出ないこともあるが、何らかの警告が表示された場合には、作業を中止してそれ以上先に進まないようにする。ここで踏みとどまれば、感染に至らずに済む。
■実行=感染ということ
警告が出ない、あるいは警告を無視して実行してしまった場合にどうなるのかは、19日付のトレンドマイクロのブログや21日付のシマンテックのブログに詳しい。要約すると、外部からRovnix(ロブニクス)ファミリーのマルウェアをダウンロードし、システムに感染させてしまうそうだ。
マルウェア感染には、このようにユーザー自身が実行してしまうものと、システムやアプリの欠陥を悪用して強制的に実行してしまうものとがある。だまされて自身で引き金をひかないよう、くれぐれも注意していただきたい。セキュリティソフトを導入している場合には、ここまでの過程のどこかで阻止してもらえるかもしれないが、過度の期待は禁物だ。阻止してもらえないケースも多々あるので、常に警戒を怠らないようにしていただきたい。
■感染したマルウェアの挙動――オンラインバンキング利用時の注意
トレンドマイクロのブログによると、「Rovnix」は、都市銀行、地方銀行、信用金庫、共同化システムを含む30のネットバンキングサイトを標的としたマルウェアなのだそうだ。具体的な銀行名は公表されていないが、住信SBIネット銀行が19日付で、このマルウェアに関する注意を呼びかけている。それによると、感染した状態で同行のホームページにアクセスすると、パスワードや認証番号を入力させようとする不正な画面が表示されるという。
オンラインバンキングのアクセス時やログイン時、ログイン直後などに、いつもと異なる画面が表示された場合には、直ちに処理を中止し、銀行に問い合わせて安全を確保していただきたい。たとえマルウェア感染しても、ここで踏みとどまることができれば、実害の発生を食い止められる。
(2016/02/25 ネットセキュリティニュース)
【関連URL】
・楽天を偽装したサイト等にご注意ください(楽天)
http://ichiba.faq.rakuten.co.jp/app/answers/popup/a_id/15818/
・ご報告いただいた「楽天を装ったメールの送信元アドレス」一覧(楽天)
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/22669/
・日本郵政を騙った不審メールが急増していますのでご注意ください(日本郵政)
http://www.japanpost.jp/information/2016/20160216115665.html
・不正な画面を表示させパスワードや認証番号を盗み取るコンピュータウィルスにご注意ください(住信SBIネット銀行)
https://www.netbk.co.jp/wpl/NBGate/i900500CT/PD/mg_notice_160219_info
・狙いは国内ネットバンキング、日本郵政を騙るマルウェアスパムが拡散(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/12884
・特定の地域を狙う悪質なスパム活動、日本も標的に(シマンテック)
http://www.symantec.com/connect/ja/node/3570661